Salesforce

En configurant Salesforce pour utiliser Specops Authentication pour l'authentification unique (SSO), un utilisateur tentant de se connecter à Salesforce sera redirigé vers Specops Authentication.

L'utilisateur se verra présenter une liste de services d'identité basée sur la politique configurée pour Salesforce dans Specops Authentication. Pour s'authentifier avec succès, l'utilisateur doit compléter un ou plusieurs de ces services d'identité. Une fois l'authentification réussie, l'utilisateur est redirigé vers Salesforce, qui valide le jeton OIDC et autorise la connexion.

La politique qui définit les services d'identité peut être stockée soit dans le Specops Authentication Cloud, soit dans un objet de stratégie de groupe (GPO) dans Active Directory. Lors de la création de l'application OpenID Connect, vous aurez les options de mode de politique suivantes :

Cloud - Tous les utilisateurs de l'organisation sont affectés.
Stratégie de groupe - Seuls les utilisateurs ciblés par un GPO étiqueté sont affectés.
Les deux - Tous les utilisateurs sont affectés. Si un utilisateur est également ciblé par un GPO étiqueté, la stratégie de groupe prend le pas sur la politique Cloud.

Prérequis

Un compte Salesforce Cloud doit être en place avant de procéder à la configuration.

Configuration

Voici les principales étapes de configuration :

Configurer un objet de stratégie de groupe
Créer une application OpenID Connect pour l'authentification unique
Ajouter Specops Authentication comme nouveau fournisseur d'authentification dans Salesforce

Configurer un objet de stratégie de groupe

Suivez ces étapes uniquement si vous sélectionnez Stratégie de groupe ou Les deux comme mode de politique lors de la création de l'application OpenID Connect.

Dans la console de gestion des stratégies de groupe, créez un objet de stratégie de groupe et nommez-le, par exemple, Salesforce.
Liez le GPO à un conteneur avec des utilisateurs qui devraient pouvoir accéder à Salesforce.
Dans l'outil d'administration Gatekeeper, cliquez sur Single Sign-on.
Cliquez sur Tag GPOs, sélectionnez le GPO qui devrait être disponible pour être utilisé lors de la configuration d'une application OpenID Connect dans Specops Authentication, et cliquez sur OK.

Créer une application OpenID Connect pour l'authentification unique

Connectez-vous en tant qu'administrateur au Web Specops Authentication.
Cliquez sur Single Sign-On.
Cliquez sur Ajouter nouveau.
Sélectionnez Type d'application : Salesforce.
Sous Paramètres généraux, tapez un nom d'application et éventuellement une description pour l'application.
Sous URL de redirection, ajoutez les URL qui devraient être autorisées pour la redirection lors de l'authentification et de la déconnexion. Laissez vide pour le moment. Une URL de rappel sera ajoutée plus tard lorsque le fournisseur d'authentification aura été enregistré dans Salesforce.
Dans Standard Claim Mapping, configurez les revendications avec des informations sur l'utilisateur qui doivent être fournies d'AD à Salesforce. Pour Salesforce, cette liste sera pré-remplie avec les revendications utilisées par le gestionnaire d'enregistrement exemple dans la documentation Salesforce, voir Créer une classe de gestionnaire d'enregistrement Apex. Les revendications peuvent toujours être ajoutées, supprimées ou modifiées pour répondre à vos besoins.
- Revendication : Sélectionnez un nom dans la liste des noms prédéfinis ou sélectionnez Personnalisé... pour entrer un nom personnalisé.
- Attribut AD ou valeur personnalisée : Sélectionnez une valeur dans la liste des attributs Active Directory ou sélectionnez Personnalisé... pour entrer un nom personnalisé. Si un attribut AD est sélectionné, la revendication sera remplie à partir de l'utilisateur lors de l'authentification. Si Personnalisé est sélectionné, une valeur fixe est utilisée.
Avertissement

La revendication "sub" doit être mappée à un attribut AD qui est immuable et identifie de manière unique l'utilisateur. Ne mappez jamais "sub" à, par exemple, l'attribut "mail" car cela pourrait permettre à un utilisateur malveillant d'accéder au compte d'un autre utilisateur. La revendication "sub" sera mappée à "objectGUID" par défaut.
Cliquez sur Enregistrer et continuer.
Sélectionnez un Mode de politique dans la liste.
Si vous avez sélectionné Stratégie de groupe ou Les deux comme mode de politique, choisissez votre GPO Salesforce dans la liste Objets de stratégie de groupe, et cliquez sur Ajouter.
Cliquez sur Modifier les règles d'authentification à côté du GPO ajouté. Configurez vos règles d'authentification souhaitées et cliquez sur Enregistrer.
Si vous avez sélectionné Cloud ou Les deux comme mode de politique, cliquez sur Configurer et ajoutez les services d'identité que vous souhaitez inclure.
Cliquez sur J'ai terminé.
La page des informations d'identification de l'application contient des informations d'identification et des URL qui peuvent être nécessaires lors de la configuration de Specops Authentication en tant que fournisseur d'identité dans Salesforce. Copiez le Client Secret et assurez-vous de le sauvegarder pour une utilisation ultérieure. Cliquez sur Continuer.

Remarque

La clé secrète du client est affichée une seule fois et ne peut pas être vue ou copiée à nouveau après avoir quitté cette page.

Ajouter Specops Authentication comme nouveau fournisseur d'authentification

Voici les étapes minimales pour ajouter la nouvelle application OpenID Connect dans Salesforce. Pour une documentation détaillée, voir : https://help.salesforce.com/s/articleView?id=xcloud.sso_provider_openid_connect.htm&type=5

Créer une classe de gestionnaire d'enregistrement Apex

Vous devez créer une classe Apex personnalisée qui contrôle comment les nouveaux enregistrements utilisateur sont créés (ou liés) lorsque quelqu'un se connecte via Specops Authentication, en utilisant OpenID Connect.

Connectez-vous à Salesforce, cliquez sur l'icône Paramètres et sélectionnez Ouvrir la configuration avancée.
Dans Recherche rapide, entrez "Apex" et sélectionnez Classes Apex.
Cliquez sur Nouveau.
Entrez le code pour créer la classe Apex. Consultez https://developer.salesforce.com/docs/atlas.en-us.apexref.meta/apexref/apex_auth_plugin.htm#apex_auth_plugin_example pour un exemple de code. Une fois terminé, cliquez sur Enregistrer.

Ajouter un fournisseur d'authentification

Connectez-vous à Salesforce. Dans Recherche rapide, tapez "auth" et sélectionnez Auth. Providers dans la liste.
Cliquez sur Nouveau.
Sélectionnez Type de fournisseur : Open ID Connect.
Entrez un nom, par exemple "sa".
Pour Clé consommateur, entrez Client Id des informations d'identification de l'application dans Specops Authentication.
Pour Secret consommateur, entrez Client Secret des informations d'identification de l'application dans Specops Authentication.
Pour Autoriser, Jeton et URL du point de terminaison des informations utilisateur, entrez les URL correspondantes de Specops Authentication.
Pour Émetteur de jeton, entrez Émetteur de Specops Authentication.
Dans URL de déconnexion personnalisée, entrez Point de terminaison de fin de session de Specops Authentication.
Sélectionnez Type de gestionnaire d'enregistrement : Apex
Cliquez sur le bouton de recherche à côté de Registration Handler et sélectionnez le gestionnaire d'enregistrement qui a été créé précédemment.
Dans Exécuter l'enregistrement en tant que, sélectionnez un utilisateur existant.
Cliquez sur Enregistrer.
Copiez l'URL de rappel et sauvegardez-la pour le moment. Vous l'ajouterez plus tard à l'application OpenID Connect dans Specops Authentication.

Ajouter les URL de redirection à l'application OpenID Connect

Connectez-vous en tant qu'administrateur au Web Specops Authentication.
Cliquez sur Single Sign-On.
Allez à l'application OpenID Connect créée pour Salesforce précédemment, et cliquez sur Modifier l'application.
Sous URL de redirection, ajoutez l'URL de rappel de Salesforce.
Cliquez sur Enregistrer.

Ajouter Specops Authentication à la page de connexion

Connectez-vous à Salesforce. Dans Recherche rapide, entrez "Domaine" et sélectionnez Mon domaine.
Sous Configuration de l'authentification, cliquez sur Modifier.
Sous Service d'authentification, cochez la case à côté du fournisseur d'authentification créé précédemment.
Cliquez sur Enregistrer.